• Artigo

Cenário de exemplo para implementar gestão fora de banda no Configuration Manager

 

Aplica-se a: System Center 2012 Configuration Manager, System Center 2012 Configuration Manager SP1, System Center 2012 Configuration Manager SP2, System Center 2012 R2 Configuration Manager, System Center 2012 R2 Configuration Manager SP1

Nota

Este tópico aparece em o manual Recursos e conformidade no System Center 2012 Configuration Manager e no manual Cenários e Soluções Utilizando o System Center 2012 Configuration Manager.

As seguintes secções neste tópico fornecem um cenário de exemplo para implementar gestão fora de banda no System Center 2012 Configuration Manager, utilizando uma abordagem faseados três:

  • Implementação piloto: Implementar e testar alguns computadores que utilizem serviços de certificado (interno CA) para o certificado de aprovisionamento

  • Implementação: Implementação completa utilizando uma AC externo para o certificado de aprovisionamento

  • Adicione suporte sem fios: Expandir gestão às redes sem fios

O cenário seguinte, investigação Trey está interessado sessão utilizando a gestão fora de banda para resolução de forma mais eficiente computadores que falham ao iniciar ou deixar de responder, exigir powering para manutenção de rotina ou requerem reconfigurar as definições da BIOS.Este empresa tiver baseado em Intel AMT computadores com versões do AMT que são suportadas pelo Gestor de configuração, mas não têm firmware personalizado que inclua o thumbprint de certificado dos seus próprios autoridade de certificação de raiz interna (AC).

Investigação Trey tem uma única Gestor de configuração site principal e todos os computadores internos residem no testnet.treyresearch.net domínio.A empresa já tem uma infraestrutura de infraestrutura de chave pública (PKI) existente que está a utilizar o Windows Server 2008 certificado Services e tem uma autoridade de certificação empresarial a executar o Windows Server 2008 Enterprise Edition.

ADAM é o Gestor de configuração utilizador administrativo que foram pedida para implementar gestão fora de banda utilizando uma abordagem de três-fase.Ele testa primeiro a funcionalidade utilizando um pequeno número de computadores de secretária e sem compra de um certificado de aprovisionamento de uma AC externo.Se o teste vai bem, Adam pode comprar um tipo de aprovisionamento de AMT de certificado e aprovisionar todos os AMT computadores baseados no ambiente de trabalho.Para a fase de implementação final, Adam é-lhe pedido para alargar a saída de gestão de banda para computadores portáteis que utilizar a rede sem fios.

Implementação piloto: Implementar e testar alguns computadores que utilizem serviços de certificado (interno CA) para o certificado de aprovisionamento

Para a fase de piloto implementar e testar gestão fora de banda, Adam demora o curso de ação descrito na tabela seguinte.

Processo

Referência

ADAM verifica os pré-requisitos para gestão fora de banda e decide criar um servidor do sistema de sites na qual ele instala a fora do ponto de serviço de banda e o ponto de inscrição.Este computador tem o nome de domínio completamente qualificado (FQDN) de server15.testnet.treyresearch.net.

ADAM também confirma que a configuração de DHCP e DNS existente satisfaz os requisitos para AMT.

Para mais informações sobre os pré-requisitos, consulte o artigo Pré-requisitos para gestão fora de banda no Configuration Manager.

ADAM funciona com os administradores de serviço do Active Directory para criar os seguintes grupos de segurança do Windows:

  • Um grupo chamado pontos de serviço do ConfigMgr fora banda que contém server15.

  • Um grupo chamado servidores do Site principal do ConfigMgr que contém a conta de computador servidor do site principal.

  • Um grupo de segurança universal com o nome do ConfigMgr AMT computadores que irá conter as contas de computador AMT.

, Em seguida, criarem uma unidade de organização (UO) no testnet.treyresearch.net domínio para o computador baseado em AMT publicada contas e conceder grupo recém-criado servidores do Site principal do ConfigMgr as seguintes permissões para este UO: Criar objetos do computador e Eliminar objetos de computador.

Para mais informações sobre como criar grupos e OUs, consulte a documentação de serviços de domínio do Active Directory.

ADAM funciona com a equipa PKI com os seguintes resultados:

  • O modelo de certificado de servidor web é duplicado e configurado para o ponto de inscrição.Este é instalado e configurado no IIS no server15.

  • É criado um modelo personalizado para pedir e instale o certificado de aprovisionamento do AMT no server15.

  • O modelo de certificado de servidor web é duplicado e configurado para que seja adequado para gestão fora de banda.

  • Estes identificam e anote o thumbprint de certificado da AC, que tem de ser adicionada manualmente para o firmware AMT até comprar um certificado de aprovisionamento de um externo AC de raiz.

Para orientação sobre como implementar os certificados PKI necessários para gestão fora de banda, consulte o Implementar os Certificados para AMT. secção a Exemplo Passo a Passo de Implementação dos Certificados PKI para o Configuration Manager: Autoridade de Certificação do Windows Server 2008 tópico.

Para mais informações sobre os requisitos de certificados, consulte Requisitos de Certificado PKI para o Configuration Manager.

Preparar os ambiente de trabalho computadores baseados em AMT que Adam irá utilizar no teste inicial, Adam verifica que a configuração de firmware AMT está correta e adiciona o thumbprint de certificado do respetivo AC de raiz interna:

  1. Quando inicia o computador, ele premir CTRL + P para configurar o ME módulo.

  2. Ele seleciona Intel (R)-ME configuração, Intel (R)-ME funcionalidade controlo, seleção de funcionalidades de gestão, e, em seguida, seleciona Intel (R) AMT.Ele sair e reinicia o computador.

  3. Ele é executado o ME módulo novamente, seleciona Intel (R) AMT configuração, configuração, para verificar se o valor para o atual modo aprovisionar é PKI.O valor não é PKI, pelo que seleciona TLS PKI, e define o configuração remoto para Ativar.

  4. No TLS-PKI secção, ele seleciona Gerir Hashes do certificado, premir a tecla Insert e escreve o thumbprint de certificado dele AC de raiz interna.

  5. Ele guarda as alterações, saída e, em seguida, reinicia o computador.

Para mais informações, consulte a documentação de Intel.

ADAM, em seguida, configura o site principal do Configuration Manager e faz as alterações seguintes:

  • Ele instala um novo servidor do sistema de sites no server15, configura-lo da intranet FQDN de server15.treyresearch.net, e, em seguida, instala a fora do ponto de serviço de banda e o ponto de inscrição.Em seguida, ele configura o fora de banda gestão componente.

  • No certificado de aprovisionamento do AMT página para o limite de ponto de serviço de banda, he browses para o certificado de aprovisionamento do AMT que ele instalado.

  • No fora de propriedades de componentes de gestão do banda caixa de diálogo, ele configura o seguinte:

    • No Geral separador, ele Especifica o UO que ele criado no testnet.treyresearch.net, o grupo de segurança universal que ele criado, browses para o modelo certificado do AMT web server que ele criou anteriormente e configura uma palavra-passe segura para a conta de MEBx.

    • No definições de AMT separador, ele especifica sua própria conta como uma conta de utilizador de AMT e um grupo de segurança do Windows domínio global que contém engenheiros de suporte técnico de ajuda que utilizarão a fora da consola de gestão de banda.Ele também seleciona as opções Ativar série sobre redirecionamento LAN e IDE, Permitir respostas de ping, e palavra-passe de ativar da BIOS ignorar para o power no e reinicie comandos.

Para mais informações, consulte as secções seguintes a Como aprovisionar e configurar computadores baseados em AMT no Configuration Manager tópico:

ADAM quiser usar reactivação no tecnologia de LAN para instalar atualizações de software crítico nos computadores.Ele tem tentou esta funcionalidade no passado e detetados que direcionado sub-rede broadcasts consumida demasiada largura de banda sobre as ligações remotas e que poucos do respetivas placas de rede trabalharam com unicast transmissions.

Ele ativa reativação por LAN e decide manter a opção predefinida de power de utilização no comandos se o computador suportar esta tecnologia; utilize caso contrário, pacotes de reativação.

Para mais informações, consulte o Passo 6: Configurar o Site enviar Power sobre comandos para atividades de reativação agendadas passo Como aprovisionar e configurar computadores baseados em AMT no Configuration Manager tópico.

ADAM adiciona a coluna de estado de AMT para o Gestor de configuração consola e cria uma nova coleção que contém apenas cinco computadores baseado em AMT como dele piloto inicial.Estes computadores são para apenas de teste e contêm diferentes versões suportados do AMT.Ele configura desta coleção para aprovisionamento de AMT.

Para mais informações, consulte o Passo 7: Apresentar o estado de AMT e, em seguida, aprovisionamento do AMT ativar passo Como aprovisionar e configurar computadores baseados em AMT no Configuration Manager tópico.

ADAM monitoriza o processo de aprovisionamento de AMT.

Para mais informações, consulte o Passo 8: Monitorização aprovisionamento de AMT passo Como aprovisionar e configurar computadores baseados em AMT no Configuration Manager tópico.

Quando os computadores com êxito são aprovisionados para AMT, Adam inicia testes estes computadores para gestão fora de banda.

Por exemplo cenários de utilização de gestão fora de banda, consulte o artigo Cenários de exemplo para utilizar gestão fora de banda no Configuration Manager.

Implementação: Implementação completa utilizando uma AC externo para o certificado de aprovisionamento

Quando os testes inicial são concluída, Adam recebe confirmação a partir do seu gestor que gestão fora de banda pode ser lançada para todos os computadores de estação de trabalho baseado em AMT.Para eliminar o requisito de registo para adicionar o thumbprint do respetivo certificado de AC de raiz interna para cada computador baseado em AMT, Adam compras um certificado de aprovisionamento de uma AC externo e instala-lo num server15, de acordo com as instruções acompanhantes.

ADAM em seguida, efetua o curso de ação descrito na tabela seguinte.

Processo

Referência

ADAM verifica os pré-requisitos para gestão fora de banda novamente, para ver se existem quaisquer alterações adicionais que ele tem para fazer.Ele notas da seguinte forma:

  • Existem requisitos de portas que ele tem relacionar com o administrador de firewall para que os engenheiros de suporte técnico de ajuda podem ligar ao baseado em AMT computadores nos sites remotas que estejam protegidos por firewall interno da empresa.

  • Algumas ajudar a computadores de secretária continua a poder executar o Windows XP e, por isso, ele deve verificar estes computadores para as respetivas versões de gestão remota do Windows (WinRM) e atualizar a versão, se necessário.

  • Ele tem de adicionar engenheiros de suporte técnico de ajuda para uma função de segurança adequadas para executar a fora da consola de gestão de banda.

Para mais informações, consulte Pré-requisitos para gestão fora de banda no Configuration Manager.

ADAM configura as propriedades da fora do ponto de serviço de banda, browses para o certificado de aprovisionamento do AMT comprado recentemente e guarda as alterações.

Para mais informações, consulte o Passo 4: Configurar o ponto de inscrição e a saída de ponto de serviço de banda para aprovisionamento de AMT passo Como aprovisionar e configurar computadores baseados em AMT no Configuration Manager tópico.

ADAM cria novas coleções de sites para gradualmente ser realizadas aprovisionamento de AMT para computadores de estação de trabalho.Durante um período de quatro semanas, ele permite estas coleções de sites para o progresso de aprovisionamento e monitores AMT.

Para mais informações, consulte o Passo 7: Apresentar o estado de AMT e, em seguida, aprovisionamento do AMT ativar passo Como aprovisionar e configurar computadores baseados em AMT no Configuration Manager tópico.

Como resultado este curso de ação, todos os computadores de estação de trabalho baseado em Intel AMT são aprovisionados para AMT e podem ser geridos fora de banda pelo suporte técnico.A capacidade de resolução de problemas e reparar computadores quando o sistema operativo não está a funcionar significativamente reduz o custo total de propriedade para a empresa porque engenheiros já não exigem acesso local para o computador.

Adicione suporte sem fios: Expandir gestão às redes sem fios

Após a implementação com êxito para estações de trabalho utilizar gestão fora de banda, a investigação Trey pretende agora expandir este suporte para computadores portáteis que utilizar a rede sem fios.A rede sem fios utiliza um servidor com base no Windows Server 2008 que está a executar o servidor de políticas de rede (NPS) e precisa de um certificado de cliente para autenticação.

ADAM demora o curso de ação descrito na tabela seguinte.

Processo

Referência

ADAM verifica os pré-requisitos de suporte sem fios para gestão fora de banda e confirma que as versões de AMT nas computadores portáteis suporta perfis sem fios.Ele notas as definições de configuração sem fios que são necessários para o servidor de políticas de rede como WPA2 segurança, encriptação AES e autenticação de EAP-TLS.

Para mais informações sobre os pré-requisitos, consulte o artigo Pré-requisitos para gestão fora de banda no Configuration Manager.

ADAM funciona com a equipa PKI para criar um modelo de certificado adicionais que os computadores baseado em AMT utiliza para autenticar com o servidor de políticas de rede.

Para obter mais informações sobre como criar o modelo de certificado de cliente, consulte "Criar e os certificados de autenticação de cliente para 802.1 X computadores baseados em AMT de emissão" no Implementar os Certificados para AMT. secção a Exemplo Passo a Passo de Implementação dos Certificados PKI para o Configuration Manager: Autoridade de Certificação do Windows Server 2008 tópico.

Para mais informações sobre os requisitos de certificados, consulte Requisitos de Certificado PKI para o Configuration Manager.

ADAM configura o fora de propriedades de componentes de gestão do banda: 802.1 X e sem fios separador:

  • Ele cria um perfil sem fios que contém o nome de rede sem fios, o tipo de segurança de WPA2-Enterprise e o método de encriptação de AES.Em seguida, ele seleciona o certificado de raiz fidedigno para o servidor de políticas de rede e o modelo de certificado de cliente que foi criado anteriormente.

Para mais informações, consulte os passos 26 a 39 no Passo 5: Configurar a fora de banda do componente de gestão secção a Como aprovisionar e configurar computadores baseados em AMT no Configuration Manager tópico.

ADAM cria uma nova coleção para computadores portáteis que pode suportar AMT.No fora de banda gestão separador, ele seleciona Ativar aprovisionamento de computadores baseados em AMT.

ADAM, em seguida, monitoriza o estado de aprovisionamento para estes computadores portáteis e utiliza o ficheiro de registo amtopmgr. log, para verificar que o perfil sem fios está configurado com êxito para estes computadores baseado em AMT.

System_CAPS_tipSugestão

Se estes computadores portáteis já estão aprovisionadas para AMT sem o perfil sem fios, Adam executa o Atualizar dados na memória do controlador de gestão de aprovisionamento comando para que as definições sejam aplicadas sem fios.Para obter mais informações, consulte a secção Como atualizar computadores para novas definições de AMT do tópico Como gerir informações no Gestor de configuração de aprovisionamento de AMT.

Para mais informações sobre o aprovisionamento do AMT de monitorização, consulte o Passo 8: Monitorização aprovisionamento de AMT passo Como aprovisionar e configurar computadores baseados em AMT no Configuration Manager tópico.

Como resultado este curso de ação, computadores portáteis podem também agora ser geridos fora de banda pelo suporte técnico, que reduz o tempo para resolver os problemas reportados por utilizadores de computador portátil.